ISO 27001 Zertifizierung: Ablauf in acht Schritten von Gap-Analyse bis Re-Audit
Der Weg zur ISO 27001:2022 Zertifizierung lässt sich in acht klar abgrenzbare Schritte gliedern. Wir zeigen, was in Gap-Analyse, Scope, Risikobewertung, Statement of Applicability, Stage-1- und Stage-2-Audit gefordert ist und welche Fristen Sie einplanen sollten.
Die ISO/IEC 27001:2022 ist die international maßgebliche Norm für Informationssicherheits-Managementsysteme (ISMS). Seit der Revision vom Oktober 2022 mit 93 Controls in Annex A und einer überarbeiteten Struktur in den Kapiteln 4 bis 10 stellt sie das Zertifizierungsschema dar, an dem sich Unternehmen, Behörden und Auditoren orientieren. Die Übergangsfrist von der Vorgängerversion ISO/IEC 27001:2013 endete im Oktober 2026. Wer heute neu zertifiziert oder ein laufendes Zertifikat verlängert, wird ausschließlich nach der Fassung 2022 auditiert. Für die Geschäftsleitung folgt daraus eine klare Reihenfolge aus Vorbereitung, internem Audit und externer Begutachtung durch eine DAkkS-akkreditierte Zertifizierungsstelle.
Dieser Beitrag beschreibt den Ablauf einer Erstzertifizierung in acht Schritten, von der Gap-Analyse über Scope-Festlegung, Risikobewertung, Statement of Applicability und Implementierung der Controls bis zu Stage-1- und Stage-2-Audit sowie Überwachungs- und Re-Audit. Wir nennen typische Zeitachsen, häufige Stolpersteine und die Dokumente, die jede DAkkS-akkreditierte Zertifizierungsstelle sehen will. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service und bildet alle 93 Controls, das Risikoregister, das Statement of Applicability und die Audit-Dokumentation in einem Workspace ab. Sie erhalten eine klare Schrittfolge mit Verantwortlichen, Fristen und Audit-Trail, die im ersten Anlauf zur Zertifizierung führt. Bestellurkunde für den Informationssicherheitsbeauftragten inklusive, mit zwei Werktagen SLA statt zwei bis sechs Wochen klassisch.
Auf einen Blick
- Der Ablauf einer ISO/IEC 27001:2022 Erstzertifizierung gliedert sich in acht Phasen mit klaren Übergaben zwischen Vorbereitung, Stage-1- und Stage-2-Audit.
- Statement of Applicability und Risikoregister sind die zentralen Audit-Artefakte, an denen jede DAkkS-akkreditierte Zertifizierungsstelle ihre Prüfung ausrichtet.
- Mit standardisierten Vorlagen, einem zentralen Workspace und einem bestellten ISB lässt sich die Erstzertifizierung in der Regel in sechs bis neun Monaten erreichen.
Schritt 1: Gap-Analyse gegen die 93 Controls der Fassung 2022
Die Gap-Analyse vergleicht den Ist-Zustand der Organisation mit den 93 Controls in Annex A der ISO/IEC 27001:2022 und den Anforderungen aus den Kapiteln 4 bis 10. Sie erfasst pro Control den Implementierungsgrad (umgesetzt, teilweise umgesetzt, geplant, nicht anwendbar), die zugehörigen Nachweise und die offenen Aufgaben. Eine belastbare Gap-Analyse umfasst zudem ein erstes Scope-Bild, eine Übersicht der wichtigsten Assets, einen ersten Risikoblick und die vorhandenen Richtlinien. Sie wird typischerweise in einem zweiwöchigen Sprint durchgeführt, abhängig von Organisationsgröße und Standortanzahl. Der Aufwand bewegt sich für mittelständische Unternehmen bei zehn bis zwanzig Personentagen, einschließlich Interviews und Dokumentensichtung.
Die Gap-Analyse ist kein Audit, aber ein präzises Vorbereitungsinstrument. Sie zeigt, welche Controls bereits aus anderen Rahmenwerken abgedeckt sind, etwa BSI-Grundschutz, NIST CSF oder TISAX. Eine sauber geführte Gap-Analyse spart im Stage-1-Audit Zeit und liefert die Argumentationsgrundlage für die Nichtanwendung einzelner Controls. CIVAC stellt eine vorstrukturierte Vorlage bereit, die alle 93 Controls referenziert, mit Pflichtfeldern für Verantwortlichen, Status, Nachweis und Frist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Beauftragte trägt im Workspace ein, die Geschäftsleitung sieht die Berichtslinie, der externe Auditor erhält einen Export mit Querverweisen auf die Übergangsregelungen 2026. So entsteht in zwei Wochen ein belastbares Bild des Reifegrads, auf dem die folgenden Schritte konsistent aufsetzen. Die Gap-Analyse wird im Workspace versioniert, sodass jeder Fortschritt nachvollziehbar bleibt und der Reifegradverlauf gegenüber der Geschäftsleitung dokumentiert werden kann. Auch der Übergang in die folgenden Schritte ist datentechnisch vorbereitet: Statt einer neuen Tabelle übernehmen Scope, Risikoregister und SoA die Befunde der Gap-Analyse als Startwert. So entfällt mehrfaches Erfassen identischer Inhalte. Bestellurkunde, unterschrieben, abgelegt, belegbar.
Schritt 2: Scope-Festlegung, Anwendungsbereich und Geltungsausschluss
Der Scope eines ISMS ist die Grundlage jeder Zertifizierung. Er beschreibt nach Kapitel 4.3 der ISO/IEC 27001:2022, welche Bereiche, Standorte, Produkte und Prozesse das ISMS abdeckt, welche Schnittstellen zu Dritten bestehen und welche Bereiche bewusst ausgeschlossen sind. Der Scope-Text wird vom Stage-1-Auditor geprüft und im Zertifikat wörtlich aufgenommen. Eine zu enge Scope-Definition kann später zu Akzeptanzproblemen bei Kunden führen, eine zu weite Definition zu unnötigem Audit-Aufwand. Maßgeblich ist die geschäftliche Bedeutung und die regulatorische Erwartung der relevanten Anspruchsgruppen, insbesondere von Großkunden, Aufsichtsbehörden und Versicherern.
In der Praxis wird der Scope iterativ erarbeitet: Erst werden die externen Anforderungen identifiziert (Kunden, Aufsicht, Lieferanten), dann die internen Risiken priorisiert, schließlich der genaue Geltungsbereich verbindlich festgelegt. CIVAC bildet im Workspace eine Scope-Vorlage mit Pflichtfeldern für Standorte, Geschäftsprozesse, Cloud-Dienste, Sub-Auftragsverarbeiter und ausgeschlossene Bereiche ab. Auch die Anforderungen aus der NIS-2-Umsetzung in Deutschland 2026, der DSGVO und gegebenenfalls dem EU AI Act werden im Scope referenziert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Prüfer ruft an, der Nachweis liegt bereit. Eine saubere Scope-Definition ist erfahrungsgemäß der Hebel mit dem besten Verhältnis aus Aufwand und Audit-Wirkung, weil er den gesamten weiteren Pfad strukturiert. Die Scope-Beschreibung wird im Statement of Applicability referenziert und mit dem Risikoregister verknüpft, sodass keine inkonsistenten Aussagen entstehen. Bei Veränderungen im Geschäftsmodell wird der Scope aktualisiert und gegenüber der Zertifizierungsstelle proaktiv angezeigt, sodass das Zertifikat seinen Geltungsbereich nicht verliert. Ein einseitig formuliertes Scope-Statement, das ohne weitere Erläuterung verständlich ist, hat im Markt den größten Wert für Vertrieb und Lieferantenprüfung.
Schritt 3: Risikobewertung und Risikobehandlungsplan
Die Risikobewertung nach Kapitel 6.1.2 der ISO/IEC 27001:2022 ist das Herzstück des ISMS. Sie identifiziert Informationswerte (Assets), erfasst Bedrohungen und Schwachstellen, schätzt Eintrittswahrscheinlichkeit und Auswirkung ein und ermittelt das Bruttorisiko. Der Risikobehandlungsplan beschreibt, welche Risiken vermieden, gemindert, transferiert oder akzeptiert werden, mit welchen Controls aus Annex A und welchen organisatorischen oder technischen Maßnahmen, mit Verantwortlichen und Fristen. Beide Dokumente werden vom Auditor in Stage 1 und Stage 2 geprüft, das Risikoregister wird mindestens jährlich oder bei wesentlichen Änderungen aktualisiert. Auch außerplanmäßige Ereignisse wie Sicherheitsvorfälle, Akquisitionen oder neue Cloud-Dienste lösen eine Anpassung aus.
Methodische Freiheit besteht: Qualitative, quantitative oder hybride Ansätze sind zulässig, solange sie konsistent angewendet und nachvollziehbar dokumentiert sind. Üblich ist eine Bewertung in fünf Stufen für Wahrscheinlichkeit und Auswirkung mit einer Risikomatrix und einem Schwellenwert für die Risikobehandlung. CIVAC liefert eine Risikoregister-Vorlage mit Pflichtfeldern für Asset, Bedrohung, Schwachstelle, Bruttorisiko, Maßnahme, Restrisiko und Verantwortlichen. Die Verbindung zu den 93 Controls ist im Workspace vorgezeichnet, sodass jede Maßnahme auf das entsprechende Control verweist. Bestellurkunde, unterschrieben, abgelegt, belegbar. Auch die Akzeptanzentscheidung der Geschäftsleitung wird im Workspace dokumentiert und signiert, damit die Akzeptanz von Restrisiken im Audit nachvollziehbar bleibt. Eine schlanke Risikobewertung ist häufig wertvoller als eine maximal detaillierte, wenn sie konsistent und nachvollziehbar geführt ist. Die Verbindung zum Business-Continuity-Plan nach Annex A.5.30 ist explizit gezeichnet, damit Risiken nicht nur erkannt, sondern operativ behandelt werden. Auch die Versicherbarkeit von Cyber-Risiken hängt häufig von einer plausiblen Risikobewertung ab, sodass diese Phase über die Norm hinaus wirtschaftlich relevant ist.
Schritt 4: Statement of Applicability und Begründung der Auswahl
Das Statement of Applicability (SoA) listet alle 93 Controls aus Annex A der ISO/IEC 27001:2022 und gibt für jedes Control an, ob es angewendet wird, mit welcher Begründung und gegebenenfalls warum es nicht angewendet wird. Es referenziert die zugehörige Richtlinie, den verantwortlichen Bereich und den Nachweis. Das SoA ist neben dem Risikoregister das zweite zentrale Audit-Artefakt und wird von jeder DAkkS-akkreditierten Zertifizierungsstelle in voller Tiefe geprüft. Im Stage-2-Audit dient das SoA als Wegweiser für Stichproben und Interviews.
Die Begründung darf nicht generisch sein. Sätze wie 'wird angewendet, weil sinnvoll' bestehen kein Audit. Erwartet wird ein konkreter Verweis auf das geschäftliche Risiko, das adressiert wird, sowie auf die konkrete Maßnahme und den zugehörigen Nachweis. Nicht-Anwendungen sind besonders sorgfältig zu begründen, etwa weil das Control schlicht nicht zum Scope passt (Beispiel: physische Zutrittskontrollen in einem reinen Cloud-Setup). CIVAC liefert die SoA-Vorlage mit den 93 Controls vorgepflegt, inklusive Beispielbegründungen für die jeweilige Branche. Die Verknüpfung zum Risikoregister und zu den Richtlinien ist im Workspace technisch hergestellt, sodass ein Control niemals isoliert dokumentiert wird. Audit-fest, dokumentiert, ISO/IEC 27001:2022-fest. Auch die Versionsführung des SoA ist relevant, weil jede Änderung im Risikoprofil ein Update auslösen kann. Eine schlanke, aber präzise SoA-Pflege ist die Eintrittskarte in das Stage-2-Audit. Eine zentrale Übersicht zeigt offene Begründungen, fehlende Nachweise und kritische Lücken, sodass die Geschäftsleitung den Reifegrad pro Control sieht. Auch für Kunden- und Lieferantenanfragen lässt sich aus dem SoA ein gehärteter Auszug erzeugen, der vertrauliche Details schwärzt und dennoch belastbar Aussagen trifft.
Schritt 5: Implementierung der Controls und Richtlinienlandschaft
Die Implementierung der Controls erfolgt nach dem Risikobehandlungsplan. Sie umfasst organisatorische Controls (Annex A.5: 37 Controls), personalbezogene Controls (Annex A.6: 8 Controls), physische Controls (Annex A.7: 14 Controls) und technologische Controls (Annex A.8: 34 Controls). Jedes Control wird mit einer Richtlinie, einer Verfahrensbeschreibung und einem Nachweis hinterlegt. Typische Richtlinien sind die Informationssicherheitsleitlinie, die Zugriffskontrollrichtlinie, die Lieferantenrichtlinie, die Kryptografierichtlinie, die Incident-Management-Prozedur und die Business-Continuity-Vorgaben. Hinzu kommen Konfigurations-, Patch- und Logging-Standards für die operative IT.
Die Implementierung dauert je nach Reifegrad zwischen drei und sechs Monaten. Schulungen für alle Mitarbeitenden nach Annex A.6.3 sind verpflichtend, ebenso interne Audits nach Kapitel 9.2 und Management-Reviews nach Kapitel 9.3. CIVAC stellt 490 einsatzbereite Audit-Vorlagen bereit, darunter Richtlinienvorlagen, interne Audit-Pläne und Management-Review-Protokolle. Der bestellte Informationssicherheitsbeauftragte (ISB) arbeitet im Workspace, die Geschäftsleitung sieht die Berichtslinie, der externe Auditor erhält den Stand der Implementierung als Export. Frist läuft ab Kenntnis. Die EU-Datenresidenz der Plattform stellt sicher, dass sensible ISMS-Dokumente in der EU verbleiben. So entsteht eine durchgängige Spur von der Anforderung über die Maßnahme bis zum Nachweis, die ein externer Auditor in Stunden, nicht in Wochen prüft. Awareness-Schulungen werden mit Quizmodul und Nachweisliste durchgeführt, sodass die Wirksamkeit der Schulung im Audit anhand belegbarer Ergebnisse darstellbar ist. Auch das Lieferantenmanagement nach Annex A.5.19 bis A.5.23 ist im Workspace mit Vorlagen für Sicherheitsanforderungen, Verträge und periodische Bewertungen verankert. So entstehen keine Lücken zwischen Eigenleistung und eingekaufter Leistung. Auch die Verzahnung mit ITSM-Tools, IAM-Systemen und SIEM-Plattformen ist im Workspace mit Schnittstellen-Dokumentation hinterlegt, sodass technische Maßnahmen mit organisatorischen Vorgaben konsistent geführt werden.
Schritt 6: Internes Audit und Management-Review vor Stage 1
Bevor die Zertifizierungsstelle das Stage-1-Audit durchführt, sind ein internes Audit und ein Management-Review verpflichtend. Das interne Audit nach Kapitel 9.2 ISO/IEC 27001:2022 prüft die Wirksamkeit des ISMS systematisch nach einem Auditplan über alle relevanten Bereiche. Auditor ist eine unabhängige Person, häufig ein externer Lead Auditor mit IRCA-Qualifikation oder ein interner Auditor mit nachweisbarer Unabhängigkeit vom Prüfgegenstand. Ergebnisse werden als Beobachtungen, Hinweise oder Abweichungen klassifiziert, dokumentiert und mit Korrekturmaßnahmen versehen. Eine fundierte interne Audit-Vorbereitung verringert Befunde im externen Audit messbar.
Das Management-Review nach Kapitel 9.3 ist ein Vorstandsthema, kein Compliance-Termin. Die Geschäftsleitung bewertet die Eignung, Angemessenheit und Wirksamkeit des ISMS auf Basis von Eingaben wie Auditergebnissen, Risikoaktualisierungen, Performance-Indikatoren, Vorfällen und Verbesserungen. Sie entscheidet über Ressourcen, Anpassungen am Scope und strategische Weichenstellungen. CIVAC liefert die Vorlagen für internes Audit und Management-Review mit Pflichtfeldern für Eingaben, Bewertungen und Beschlüsse. Der Beauftragte arbeitet im Workspace, die Geschäftsleitung unterzeichnet das Protokoll digital nach eIDAS, der externe Auditor sieht die nachweisbare Governance. Audit-fest, dokumentiert, ISO/IEC 27001:2022-fest. Beide Schritte sind die letzten internen Gates vor dem Stage-1-Audit und werden vom Auditor explizit nachgefragt. Eine schwache Vorbereitung in dieser Phase führt regelmäßig zu Nebenabweichungen, eine starke Vorbereitung legt das Fundament für ein reibungsloses Hauptaudit. Wir empfehlen, das interne Audit mindestens sechs Wochen vor Stage 1 abzuschließen, damit Korrekturmaßnahmen wirksam umgesetzt und im Management-Review bewertet werden können. Auch ein vollständiger Probelauf mit einer Mock-Begehung ist möglich und erhöht die Wahrscheinlichkeit eines befundarmen Hauptaudits messbar. Die Geschäftsleitung erhält im Anschluss eine Zusammenfassung mit Reifegrad pro Bereich, sodass strategische Entscheidungen vor Stage 1 noch getroffen werden können.
Schritt 7: Stage-1- und Stage-2-Audit durch die Zertifizierungsstelle
Das Zertifizierungsaudit erfolgt zweistufig. Im Stage-1-Audit (Readiness-Audit) prüft die DAkkS-akkreditierte Zertifizierungsstelle die ISMS-Dokumentation, den Scope, das Statement of Applicability, das Risikoregister, die Richtlinien, das interne Audit und das Management-Review. Sie identifiziert Lücken und gibt Empfehlungen, die vor Stage 2 geschlossen sein müssen. Stage 1 dauert je nach Größe ein bis drei Audit-Tage und wird häufig remote durchgeführt. Häufige Befunde sind unvollständige SoA-Begründungen, generische Risikobeschreibungen oder fehlende Awareness-Nachweise. In der Regel liegen zwischen Stage 1 und Stage 2 vier bis acht Wochen, in denen die Befunde adressiert werden.
Im Stage-2-Audit (Hauptaudit) prüft das Audit-Team die operative Wirksamkeit. Vor Ort werden Mitarbeitende interviewt, Tickets stichprobenartig nachverfolgt, Zutrittsbereiche begangen und Vorfallprotokolle gesichtet. Stage 2 dauert je nach Scope drei bis zehn Audit-Tage. Ergebnisse werden als Hauptabweichung, Nebenabweichung oder Beobachtung klassifiziert. Hauptabweichungen sind binnen einer von der Zertifizierungsstelle festgelegten Frist zu schließen, üblich sind 30 bis 90 Tage. CIVAC unterstützt mit Audit-Vorbereitungs-Vorlagen, Interview-Leitfäden für Mitarbeitende und einer Abweichungsverfolgungsliste, die im Workspace mit Verantwortlichem und Frist geführt wird. Der Prüfer ruft an, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. So gelingt die Erstzertifizierung in der Regel im ersten Anlauf, ohne Verlängerungsrunde durch den Audit-Body. Auch eine kurzfristige Schulung der interviewten Mitarbeitenden auf die Audit-Fragen ist im Workspace vorbereitet. Eine gut geführte Auftaktbesprechung am ersten Tag von Stage 2 reduziert Reibung und ermöglicht eine effiziente Stichprobenwahl durch den Audit-Body. Eine klare Rollenverteilung mit Audit-Begleiter, Sprecher und Fachverantwortlichem hält das Audit im Takt und vermeidet überflüssige Wartezeiten.
Schritt 8: Überwachungsaudits und Re-Audit im Drei-Jahres-Zyklus
Das ausgestellte Zertifikat gilt drei Jahre. In den ersten beiden Jahren findet jeweils ein Überwachungsaudit (Surveillance Audit) statt, das einen Teil des Scopes prüft und auf Veränderungen im ISMS reagiert. Im dritten Jahr folgt das Re-Audit, das den vollen Scope wie ein Erstaudit behandelt, aber im Aufwand geringer ausfällt, weil viele Artefakte bereits etabliert sind. Bei größeren Änderungen am Scope, an der Organisation oder am Risikoprofil informiert das Unternehmen die Zertifizierungsstelle vorab. Sie reagiert mit einer angepassten Auditplanung und gegebenenfalls einem Sonderaudit.
Zwischen den Audits bleibt die Pflicht zur kontinuierlichen Verbesserung nach Kapitel 10 ISO/IEC 27001:2022 bestehen. Vorfälle werden analysiert, Korrekturmaßnahmen umgesetzt, das Risikoregister fortgeschrieben, Schulungen wiederholt, interne Audits jährlich durchgeführt und das Management-Review mindestens einmal pro Jahr abgehalten. CIVAC kalenderisiert alle Pflichten im Workspace und mahnt rechtzeitig. So entsteht ein lebendes ISMS, das nicht im Audit aktiviert und nach dem Audit deaktiviert wird, sondern eine kontinuierliche Funktion in der Organisation einnimmt. Eine zentrale Übersicht zeigt offene Punkte, Fälligkeiten und Verantwortliche auf einen Blick. Audit-fest, dokumentiert, ISO/IEC 27001:2022-fest. Frist läuft ab Kenntnis. Auf Wunsch übernimmt CIVAC die Rolle des ISB extern und liefert die Berichte direkt in Ihre Geschäftsleitung, ohne dass Sie zusätzliche interne Kapazitäten aufbauen müssen. Ein Wechsel der Zertifizierungsstelle ist im Drei-Jahres-Zyklus möglich, sollte aber gut vorbereitet sein, damit Audit-Trail und Befundverfolgung lückenlos bleiben. CIVAC unterstützt die Übergabe mit standardisierten Export-Paketen, sodass die neue Stelle ohne Reibungsverlust einsteigen kann. Auch die Verzahnung mit weiteren Frameworks wie TISAX, SOC 2 oder PCI DSS ist über das gemeinsame Daten-Backbone möglich, sodass Mehrfach-Audits effizient bedient werden.
Wie CIVAC die Zertifizierung begleitet: Workspace, ISB-Bestellung, Audit-Vorlagen
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die alle acht Schritte der ISO/IEC 27001:2022 Zertifizierung in einem System abbildet. Im Workspace finden Sie die Gap-Analyse-Vorlage, die Scope-Vorlage, das Risikoregister, das Statement of Applicability mit den 93 Controls vorgepflegt, die Richtlinienlandschaft, die Vorlagen für internes Audit und Management-Review, die Stage-1- und Stage-2-Vorbereitungsunterlagen und 490 einsatzbereite Audit-Vorlagen. Fristen, Audit-Termine und Wiederholungsschulungen sind kalenderisiert, die Berichtslinie zur Geschäftsleitung ist im Organigramm hinterlegt, die EU-Datenresidenz ist technisch durchgesetzt. Auch die Verzahnung mit DSGVO, NIS-2 und EU AI Act ist im Vorlagenset vorgesehen.
Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im zweiten Modell stellen wir einen Informationssicherheitsbeauftragten mit ISO-27001-Lead-Auditor-Qualifikation, übernehmen die Bestellung mit Urkunde und Aufgabenkatalog und liefern Quartalsberichte direkt in Ihre Geschäftsleitung. Die CIVAC-SLA von zwei Werktagen für die Aufnahme einer Rolle ersetzt den klassischen Anbahnungsweg von zwei bis sechs Wochen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir bestätigen den Eingang am gleichen Werktag und liefern eine erste Einschätzung mit Zeitplan, ISB-Bestellurkunde und Gap-Analyse-Angebot innerhalb der Standard-SLA. Wenn Sie zunächst nur einen Sanity-Check brauchen, ob Ihr Setup im ersten Anlauf zertifizierungsfähig ist, genügt eine kurze Beschreibung Ihrer Organisation. Wir antworten mit einer Einschätzung und den nächsten drei konkreten Schritten in Richtung Erstzertifizierung, mit klaren Verantwortlichen und einer Meilensteinplanung. So wird aus dem Normentext ein operativer Plan, der in sechs bis neun Monaten zum Zertifikat führt. Auf Wunsch koordinieren wir auch die Auswahl und Beauftragung der DAkkS-akkreditierten Zertifizierungsstelle, sodass Sie sich auf den operativen Aufbau konzentrieren können.
FAQ
Wie lange dauert eine ISO 27001:2022 Erstzertifizierung?
In der Regel sechs bis neun Monate, abhängig vom Reifegrad. Eine bereits etablierte Sicherheitsorganisation kann in vier bis sechs Monaten zertifiziert sein, eine grüne Wiese benötigt eher neun bis zwölf Monate. CIVAC liefert Vorlagen und Bestellung des ISB in zwei Werktagen, sodass die operative Vorbereitung früh starten kann. Der Zeitplan wird im Workspace mit Meilensteinen geführt und gegenüber der Geschäftsleitung berichtet.
Was ist der Unterschied zwischen Stage-1- und Stage-2-Audit?
Das Stage-1-Audit prüft die Dokumentation und Audit-Reife des ISMS und identifiziert Lücken vor dem Hauptaudit. Es dauert in der Regel ein bis drei Tage und wird häufig remote durchgeführt. Das Stage-2-Audit prüft die operative Wirksamkeit vor Ort mit Interviews, Stichproben und Begehungen. Es dauert je nach Scope drei bis zehn Tage und endet mit der Zertifizierungsempfehlung der Auditoren.
Welche Rolle spielt das Statement of Applicability?
Das Statement of Applicability ist das zentrale Audit-Artefakt nach dem Risikoregister. Es listet alle 93 Controls aus Annex A der ISO/IEC 27001:2022 mit Anwendungsstatus, Begründung, verantwortlichem Bereich und Nachweis. Die Zertifizierungsstelle prüft das SoA in voller Tiefe und nutzt es als Wegweiser für Stichproben. Generische Begründungen oder pauschale Nicht-Anwendungen führen regelmäßig zu Hauptabweichungen im Stage-2-Audit.
Müssen alle 93 Controls aus Annex A angewendet werden?
Nein, nicht jedes Control ist auf jeden Scope anwendbar. Die Nicht-Anwendung muss aber konkret und nachvollziehbar begründet werden, etwa weil das Control inhaltlich nicht zum Geschäftsmodell passt. Pauschale Begründungen werden im Audit beanstandet. CIVAC liefert in der SoA-Vorlage Beispielbegründungen je Branche, sodass die Argumentation Audit-fest und konsistent geführt wird und im Stage-1-Audit keine Nacharbeit erforderlich wird.
Was kostet eine ISO 27001 Zertifizierung in Deutschland?
Die Kosten variieren stark mit Scope, Standortanzahl und Komplexität. Die reinen Zertifizierungskosten der akkreditierten Stelle liegen typischerweise zwischen 10.000 und 50.000 Euro über drei Jahre. Hinzu kommen interne Aufwände und gegebenenfalls externe Beratung. CIVAC reduziert die internen Aufwände erheblich durch Vorlagen, einen bestellten ISB und einen zentralen Workspace mit EU-Datenresidenz. Der Return entsteht vor allem über Audit-Vorbereitung und Befundvermeidung.
Wie schnell kann CIVAC einen ISB für die Zertifizierung bereitstellen?
Die CIVAC-SLA liegt bei zwei Werktagen vom Eingang Ihrer Anfrage bei info@civac.de bis zum ersten Entwurf der Bestellurkunde. Der klassische Markt benötigt zwei bis sechs Wochen. Sie können den Workspace parallel lizenzieren und die externe ISB-Bestellung später ergänzen, etwa zur Stage-1-Vorbereitung oder zur Begleitung des Re-Audits im dritten Jahr. So bleiben Sie zeitlich flexibel.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.